来自 数据 2021-09-08 08:07 的文章

防ddos攻击_防御服务器_原理

防ddos攻击_防御服务器_原理

几天前,阿里ddos防御,在PandaLabs,PandaLabs,PandaLabs的反恶意软件实验室,我们发现了一种我们认为非常重要的勒索软件,特别是因为它的新颖性和独特的功能。这个新勒索软件的名字是加密比特。如果我们把它与我们迄今为止从其他勒索软件中学到的东西相比较,我们可以说加密比特是独一无二的样本。另一个主要的原因是他们的文件和勒索软件不同。它的其他特性将在本文中揭示。分析样品本报告重点分析以下样本:a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c(sha256)由于有一个"包装器",这个样品得到了保护。在"解包"之后,我们可以注意到,除了最近编译的日期(2016年4月5日下午12:20:55),还完全缺少字符串,这表明CryptoBit的作者希望以任何方式阻碍对代码的分析。分配在分析了Panda Security的"集体智能系统"提供的数据后,可以确定影响不同浏览器的"漏洞利用工具包"正在使用用于分发密码位的向量。行为我们可以更准确地确定加密比特的基本工作方式: CryptoBit要做的第一件事就是检查键盘的配置语言。如果键盘配置了以下代码之一:0x1a7、0x419(俄语)或0x43f(哈萨克语),则程序不会最终加密任何文件。在确认键盘不在黑名单中后,CryptoBit会转到所有本地磁盘驱动器、网络文件夹和可移动驱动器(USB),防御cc节点,搜索包含任何预期扩展名的文件。它的目标是什么?加密文件的全部内容(另一个不寻常的功能),以便以后请求救援。尤其是CryptoBit对以下文件扩展名感兴趣:crp crp arj crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf do点pps dbf f f f f nsf ifx ifx cdr pdb kdbx tbl tbl docx qbw qbw,qbw;bml pptx kdb p12税xls pgp p rar xml sql 4d d d iso max x x sdf dwg idx x dox saj gdb wdb pfx pfx docm dwk dwk qba mpp 4db myo c xlsx ppt gpg g g go sdc odp psw psw psw pswpswpswpsd,qd qbbb,dwxxdbx,mdb,nba nba,ngn2,mdf,mdf,qd,在ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip 一旦文件加密过程开始,用户可以在其计算机上看到一个类似于下图所示的窗口:  在这封邮件中,什么企业需要ddos防御,我们看到了一些细节,这些细节可以用来对这种新型勒索软件进行分类:ID显示为"58903347"在所分析样本显示的数字中,该值始终相同。不管你是重复运行这个恶意软件,还是在不同的设备上运行。这意味着我们将发现自己拥有勒索软件的ID,而不是某个特定的用户(或计算机)。你必须支付的比特币数量一般来说,比特币的需求量是固定的,或者有一个限制。在这个具体的例子中,我们看到作者(或作者)请求的救助有点过分。如何与"他们"取得联系用户无法通过一个可通过URL访问的web服务器与黑客联系,而且他们不会要求用户提供任何特别的东西,至少在这个时候他们没有。他们要求用户使用一个看起来不可信的电子邮件地址与他们联系(例如。torrentracker@india.com). 如果受害者没有收到响应,他们还可以使用一个名为"Bitmessage"的应用程序与黑客联系,后者是另一个应用程序的分支,可以在"GitHub"中找到。此外,如果此消息不足以使他们相信他们的文件已被加密,则每次使用这些(现在)不可解密的文件之一访问此文件夹时,用户都会发现一些有意创建的额外文件: 奥克索ATHAPPENDTOYOURFILES.TXT如果我们看一下这个文件,我们会发现在用户的文件被加密后显示给用户的相同消息(这次是文本格式)。塞克里兹贝尔0美国钥匙在第二个文件中,我们看到长度为1024的十六进制序列,一旦解码,将对应于512字节(或4096位)的二进制序列。稍后,在"加密"部分,它将向我们展示名为"sekretzbel0ngt0"的文件的含义美国钥匙,其中加密已用于加密其他文件。用户可以看到的另一个CryptoBit操作是一个HTTP请求,它看起来像:?编号=58903347注意:请求的脚本"敲门.php"不存在。文件加密加密文件加密其他文件,在每次运行中,CryptoBit都会生成算法AES,或"高级加密标准"(长度为32字节或256位的随机密钥),因此除非知道这些信息,否则几乎不可能解密文件。为了使我们不丢失这个允许我们在支付赎金的情况下解密文件的密钥,勒索软件的作者使用RSA算法存储生成的AES密钥。使用的公钥长度为4096位,在分析的样本中是硬编码的。一旦AES密钥用RSA加密,它将被存储在名为"sekretzbel0ngt0"的文件中美国钥匙,cc防御ddos防御,这使得它只有在有相应的RSA"私钥"时才可理解(理论上,私钥只有密码作者拥有)在本节中,我们注意到一个具体细节:没有调用使用RSA算法加密文件的本机库。CryptoBit使用一系列静态编译的例程,这些例程允许您对大数("大数")进行操作,从而使重现RSA加密算法成为可能。结论正如我们所看到的,这种新发现的勒索软件现象并没有过时。我们每天都在寻找新的样品,仍然让我们感到惊讶。在这个具体的例子中,我们对"严肃的密码"(AES+RSA)的使用并不感到震惊,这是一种越来越标准化的东西,ddos攻击防御与waf防御,但我们对它背后的雄心壮志感到惊讶,并能欣赏它的良好设计和有趣的想法。像往常一样,保持你的防病毒更新,并确保备份你的重要文件。 密码比特分析:Alberto Moro、Abel Valero和Daniel Garcia